[更新] Win2k/XPのセキュリティホールを突いて自動感染を繰り返す新ワーム「SASSER.A」 | RBB TODAY

[更新] Win2k/XPのセキュリティホールを突いて自動感染を繰り返す新ワーム「SASSER.A」

エンタープライズ その他

 トレンドマイクロは、Windows2000とXPの「LSASSの脆弱性」を使ってインターネット経由の自動感染をおこなう新ワーム「WORM_SASSER.A(サッサー)」について米国での感染報告をうけて危険度「中」のイエローアラートを出している。

 SASSER.Aは、TCPポート445番(Microsoft Directory Service)に対して進入用の特殊なパケットを送信、LSASS(Local Security Authority Subsystem Service)にバッファオーバーフローを起こし、さらに感染を広めたり、バックドアを作成したりといった動作を行う。

 根本的な対策としては、すべてのWindows 2000 / XP搭載PCへのセキュリティ修正プログラムの導入が必要となるが、一部のWindows2000(IPSecを利用したVPNクライアントやDLTテープドライブなどを導入しているなど)では、MS04-011のセキュリティ修正プログラムを導入すると、PCの反応が止まる、ログオンできなくなる、CPU利用率が100%に張り付くといった不具合があるということで、サポート技術情報841382で回避策が紹介されている。

 多くの場合、TCPポートの445番がインターネットに対してオープンにされている必要はないため、ファイアウォールやブロードバンドルータの設定などを確認し、このポートを閉じておくことをおすすめする。

※5月3日16時更新
 トレンドマイクロは、亜種である「WORM_SASSER.B」をレッドアラートとして警告した。さらに、シマンテックも1時間に150件程度の感染報告があるとして危険度4に引き上げた。
《伊藤雅俊》

特集

page top